Rozszerzenia dla Firefoksa Niebezpieczny atak internetowy

Popularny bezpłatny narzędzie bezpieczeństwa przeglądarki Firefox zostało uaktualnione, aby zablokować jeden z najbardziej niebezpiecznych i kłopotliwych problemów związanych z bezpieczeństwem, z jakimi obecnie boryka się Internet.

NoScript to niewielka aplikacja integrująca się z Firefoksem. Blokuje wykonywanie skryptów w językach programowania takich jak JavaScript i Java na niezaufanych stronach internetowych. Skrypty mogą być użyte do przeprowadzenia ataku na komputer.

Najnowsza wersja NoScript w wersji 1.8.2.1 zatrzyma tak zwany "clickjacking", gdy osoba przeglądająca Internet kliknie na złośliwy, niewidoczny link bez Realizując to, powiedział Giorgio Maone, włoski badacz bezpieczeństwa, który napisał i utrzymuje program.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Clickjacking jest znany od kilku lat, ale ponownie zwraca uwagę po dwaj analitycy bezpieczeństwa, Robert Hansen i Jeremiah Grossman, ostrzegli w zeszłym miesiącu o nowych scenariuszach, które mogłyby naruszyć prywatność danej osoby lub, co gorsza, ukraść pieniądze z konta bankowego.

Niestety, kliknięcie jest możliwe z powodu fundamentalnej funkcji pozwala stronom internetowym na osadzanie treści z innych stron internetowych, powiedział Maone. Prawie wszystkie przeglądarki są podatne na atak typu "kliknięcie".

"Naprawdę trudno to naprawić, ponieważ jest to część samej sieci i przeglądarki", powiedział Maone.

Osadzone treści mogą być niewidoczne, ale osoba może nadal nieświadomie wchodzić z nią w interakcję. Atak typu "kliknięcie" wykorzystuje tę możliwość, nakłaniając użytkownika do kliknięcia przycisku, który wydaje się wykonywać jakąś funkcję, ale w rzeczywistości robi coś zupełnie innego.

Clickjacking można również wykonać, manipulując wtyczkami innych aplikacji, takich jak Adobe Program Flash i Microsoft Silverlight. Na przykład, naukowcy z ostatnich dni pokazali, że atak typu "clickjacking" może włączyć kamerę internetową i mikrofon osoby bez ich wiedzy.

We wtorek Adobe ostrzegł, że wyda poprawkę do Flasha pod koniec miesiąc.

Nowe ulepszenie NoScript, zwane ClearClick, może wykryć, czy na stronie internetowej znajduje się ukryty, osadzony element. Następnie wyświetla komunikat ostrzegawczy z pytaniem użytkownika, czy nadal chce go kliknąć.

Maone powiedział, że ClearClick prawdopodobnie przerwie wszystkie próby kliknięcia. NoScript jest przeznaczony tylko dla przeglądarki Firefox, więc użytkownicy Internet Explorera Microsoftu - najczęściej używanej przeglądarki na świecie - są zagrożeni.

Właściciele witryn mogą jednak zrobić jeden krok, aby zapobiec ich ofiarom, Powiedział Maone. Programiści mogą używać skryptu na swoich stronach internetowych, który sprawdza, czy strona internetowa jest osadzona na innej stronie. Jeśli tak, skrypt wymusza na stronie dobrą stronę, zapobiegając klikaniu, powiedział Maone.

Technika ta nazywa się "framebusting". Serwis płatności online Ebay, PayPal, który jest często atakowany przez cyberprzestępców, wdrożył już program framebustingu, powiedział Maone. NoScript pozwoli uruchomić skrypt framebustingowy, powiedział Maone.

"Najlepszą rzeczą, jaka może się stać, jest to, że właściciele stron internetowych zaczynają bardziej uważnie myśleć o bezpieczeństwie" - powiedział Maone. "Ważne jest, aby właściciele stron internetowych rozpowszechniali słowo, że powinni zaimplementować framebusting."

Clickjacking to poważny, potencjalnie długotrwały problem dla twórców przeglądarek. Ponieważ atak jest włączony przez funkcję w HTML, wymaga on zmian w specyfikacji HTML.

Grupy standardów sieciowych pracują obecnie nad HTML 5, specyfikacją, która będzie zawierała nowe funkcje w języku programowania, aby dostosować się do przyszłego projektowania stron internetowych. Ale proces normalizacyjny porusza się powoli, a zmiany w HTML mogą złamać istniejące strony internetowe, powiedział Maone.

"Dla użytkownika obawiam się, że na razie nie ma poprawki, ale NoScript", powiedział.